arp协议知识点总结

一、ARP攻击原理及防范在局域网中如果时常上不了网，但是网络的连接正常，而局域网的网络情况却时好时坏，那么这很可能就是ARP欺骗已经发作的征兆。

ARP的内容和原理：ARP的全称是：Address Resolution Protocol，也就是地址解析协议。

顾名思义，其主要作用就是“地址解析”，即通过目标设备的IP地址，查询目标地址的MAC地址。

在局域网中，如果要在两台主机之间进行通信，就必须要知道目标主机的IP地址，但是起到传输数据的物理设备网卡并不能直接识别IP地址，只能识别其硬件地址MAC地址，MAC地址是一个全球唯一的序列号并由12个16进制数构成。

主机之间的通信，一般都是网卡之间的通信，而网卡之间的通信都是根据对方的MAC地址来进行工作的，而ARP协议就是一个将数据包中的IP地址转换为MAC 地址的网络协议。

ARP在局域网中的作用：而在规模越来越庞大的局域网中，存在上百台主机已经很普及，如何在这么多的主机的MAC地址中，快速又准确的记住每个网卡对应的IP地址和MAC地址的对应关系，这就要依靠一个存在于所有主机中的ARP缓存表来进行记录。

例如局域网中有A、B两台主机并通过交换机相连接，当A需要给B所在的IP地址发送数据时，A就要先查找自己的ARP缓存表，看其中是否存在这个IP的MAC地址，如果有就直接发送。

如果没有，那么A就要向整个局域网发送广播要求使用这个IP地址的主机进行响应，B收到广播后会向A返回一个响应信息，说明自己的MAC和A所要发送的IP地址是对应关系，而A收到B所返回的信息后会将这个IP和MAC进行记录，以后如果要再发送信息，则可以从ARP缓存表中直接查找并发送。

ARP病毒的危害：ARP缓存表记录了所有和和其宿主主机进行通讯过的其他电脑的MAC-IP对应关系，而漏洞也恰恰在此。

如果局域网中的一台电脑进行欺骗性地使用自己的IP地址来冒充其他主机的MAC地址。

比如：在B和C的通讯时，这时出现一台A机器，它告诉B说它就是C，结果B机器就认为它是C了，并且在B的缓存中，原先C的IP地址被对应到了A的MAC上。

介绍ARP协议的定义和目的ARP（Address Resolution Protocol）是一种网络协议，用于将IP地址映射到物理硬件地址（MAC地址）。

它的主要目的是在局域网中解析目标设备的IP地址，以便能够正确地发送数据包。

定义ARP协议是一种在以太网或其他局域网中使用的协议，用于确定目标设备的MAC地址。

它通过发送ARP请求广播来查询目标设备的MAC地址，并通过ARP响应获得相应的映射关系。

目的ARP协议的目的是建立IP地址和MAC地址之间的映射关系，以便实现在局域网上的数据传输。

通过将IP地址解析为对应的MAC地址，ARP协议使得数据包能够准确地被发送到目标设备。

主要目标包括：1.地址解析：ARP协议通过查询目标设备的MAC地址，实现IP地址到MAC地址的解析，确保数据包被正确路由和传递。

2.局域网通信：在局域网中，设备之间通常使用MAC地址进行通信。

ARP协议使得设备能够通过IP地址找到对应的MAC地址，从而在局域网内进行数据传输。

3.缓存管理：ARP协议维护一个本地的ARP缓存表，记录IP地址和MAC地址的映射关系。

这样，在后续的通信中，可以直接使用缓存中的映射关系，提高数据传输的效率。

总之，ARP协议的定义和目的是为了解决IP地址和MAC地址之间的映射关系，以支持在局域网上的有效数据传输。

解释ARP协议的工作原理和过程ARP协议（Address Resolution Protocol）是一种用于解析IP地址和MAC地址之间映射关系的协议。

它的工作原理可以简单地描述为以下几个步骤：1.发送ARP请求广播：当一个设备需要发送数据包到目标设备时，它首先检查本地的ARP缓存表，查看是否有目标IP地址对应的MAC地址。

如果没有找到对应的MAC地址，它将发送一个ARP请求广播到局域网上的所有设备。

2.目标设备响应ARP请求：局域网上的其他设备接收到ARP请求广播后，会检查是否是自己的IP地址与之匹配。

前言：ARP协议的作用：1. 什么是ARP?ARP (Address Resolution Protocol) 是个地址解析协议。

最直白的说法是：在IP以太网中，当一个上层协议要发包时，有了该节点的IP地址，ARP就能提供该节点的MAC地址。

2为什么要有ARP？OSI 模式把网络工作分为七层，彼此不直接打交道，只通过接口(layre interface). IP地址在第三层, MAC地址在第二层。

协议在发生数据包时，首先要封装第三层（IP地址）和第二层（MAC地址）的报头, 但协议只知道目的节点的IP地址，不知道其物理地址，又不能跨第二、三层，所以得用ARP的服务。

详细说明：Ø在网络通讯时，源主机的应用程序知道目的主机的IP地址和端口号，却不知道目的主机的硬件地址，而数据包首先是被网卡接收到再去处理上层协议的，如果接收到的数据包的硬件地址与本机不符，则直接丢弃。

因此在通讯前必须获得目的主机的硬件地址。

ARP协议就起到这个作用Ø当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48位的以太网地址来确定目的接口的，设备驱动程序从不检查IP数据报中的目的IP地址。

ARP（地址解析）模块的功能为这两种不同的地址形式提供映射：32位的IP地址和48位的以太网地址一.ARP报文各字段含义：ARP报文字段总共有28个字节1.硬件类型：占2个字节，表明ARP实现在何种类型的网络上。

Ø值为1：表示以太网。

2.协议类型：占2个字节表示要映射的协议地址类型。

ØIP:08003.硬件地址长度：占1个字节，表示MAC地址长度，其值为6个字节。

4.协议地址长度：占1个字节，表示IP地址长度，此处值4个字节5.操作类型：占2个字节，表示ARP数据包类型。

Ø值为1表示ARP请求。

Ø值2表示ARP应答。

6.源MAC地址：占6个字节，表示发送端MAC地址7.源IP地址:占4个字节，表示发送端IP地址8.目的以太网地址：占6个字节，表示目标设备的MAC物理地址9.目的IP地址：占4个字节，表示目标设备的IP地址.注意：在ARP操作中，有效数据的长度为28个字节，不足以太网的最小长度46字节长度，需要填充字节，填充字节最小长度为18个字节二.ARP请求分组或应答分组以太网首部总共有14字节数据，arp请求报文总共有28字节。

ARP协议详述1.ARP协议概述IP数据包常通过以太网发送。

以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。

因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。

在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。

地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。

ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。

目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。

发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。

如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。

这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。

ARP机制常常是自动起作用的。

在特别安全的网络上，ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。

图1 以太网上的ARP报文格式图1是一个用作IP到以太网地址转换的ARP报文的例子。

在图中每一行为32位，也就是4个八位组表示，在以后的图中，我们也将遵循这一方式。

硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。

协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。

硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。

操作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2，RARP请求为3，RARP 响应为4。

当发出ARP请求时，发送方填好发送方首部和发送方IP地址，还要填写目标IP地址。

当目标机器收到这个ARP广播包时，就会在响应报文中填上自己的48位主机地址。

2 ARP使用举例我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项)：d2server:/home/kerberos# arpAddress HWtype HWaddress Flags Mask Iface211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0Address：主机的IP地址Hwtype：主机的硬件类型Hwaddress：主机的硬件地址Flags Mask：记录标志，"C"表示arp高速缓存中的条目，"M"表示静态的arp条目。

网络协议之ARP协议原理及应用ARP协议原理及应用一、协议原理ARP（Address Resolution Protocol，地址解析协议）是一种用于将IP地址解析为物理地址的协议。

在网络通信中，数据包需要通过物理地址进行传输，而IP地址只是逻辑上的地址。

ARP协议通过查询网络中的ARP缓存表或者发送ARP请求广播来获取目标IP地址对应的物理地址。

具体的工作原理如下：1. 当主机A要发送数据包给主机B时，首先检查本地的ARP缓存表，看是否已经有了目标IP地址B对应的物理地址。

2. 如果ARP缓存表中没有目标IP地址B的物理地址，则主机A会发送一个ARP请求广播，询问网络中是否有主机B的物理地址。

3. 网络中的所有主机都会收到这个ARP请求广播，但只有主机B会响应，将自己的物理地址发送给主机A。

4. 主机A收到主机B的物理地址后，将目标IP地址B和物理地址存入ARP缓存表，并使用目标物理地址发送数据包给主机B。

二、协议应用ARP协议在局域网中广泛应用，主要用于解析IP地址和MAC地址之间的对应关系，以实现数据包的正确传输。

下面是ARP协议的几个应用场景：1. IP地址解析：当主机A要发送数据包给主机B时，ARP协议能够将目标IP 地址解析为目标物理地址，从而确保数据包能够正确传输。

2. ARP缓存表维护：主机在通信过程中会维护一个ARP缓存表，记录已解析的IP地址和对应的物理地址。

这样，在下次通信时就可以直接从缓存表中获取物理地址，提高通信效率。

3. ARP欺骗检测：ARP协议的广播特性使得它容易受到ARP欺骗攻击。

因此，可以利用ARP协议来检测网络中是否存在ARP欺骗行为，从而保障网络的安全。

4. 网络设备管理：网络管理员可以利用ARP协议来获取网络设备的物理地址，以便进行设备管理和故障排查。

5. 网络故障排查：在网络故障排查过程中，ARP协议可以帮助确定是否存在地址冲突或者网络设备配置错误等问题。

简述arp协议的原理简述ARP协议的原理一、基本信息ARP协议（Address Resolution Protocol）是网络协议之一，用于将IP地址转换成物理地址。

ARP协议的主要功能是通过一个已知的IP地址查询相应的物理地址，完成数据包的发送和接收。

ARP协议运作在OSI模型的第二层数据链路层。

二、各方身份、权利、义务、履行方式、期限、违约责任1. 发送方（ARP请求方）：有查找IP地址对应物理地址的需求，向网络中所有其他设备广播ARP请求。

权利：获取请求的响应信息。

义务：遵循ARP协议规范的操作流程，发送正确的ARP 请求信息，正确处理响应信息。

2. 接收方（ARP响应方）：收到ARP请求后，如果自己的IP地址与请求相匹配，则发送ARP响应消息，告知请求方自己的物理地址。

权利：收到请求后根据自己的IP地址正确回应ARP响应消息。

义务：遵循ARP协议规范的操作流程，正确响应ARP请求消息，不发送错误的响应信息。

3. 监听者（ARP监听方）：作为网络设备，实时监听网络流量，捕获和处理传输的ARP协议信息，完成地址转换。

权利：收集网络中的ARP消息，完成地址转换。

义务：保证ARP消息的安全可靠，正确转发地址信息。

4. 履行方式ARP协议的工作流程如下：（1）当主机A需要知道主机B的MAC地址时，主机A首先会在自己的表格中查找，如果找到，则会直接发往主机B；（2）在本地网络中，如果主机A没有找到主机B的MAC地址，会发送ARP请求报文；（3）网段中的其他主机和交换机都会收到ARP请求报文；（4）如果有一台主机B的IP地址与ARP请求报文中的IP地址匹配，则主机B将会向主机A返回一个ARP响应报文，该报文中包含主机B的MAC地址；（5）主机A收到ARP响应报文后，将主机B的MAC地址存储到自己的地址缓存中，以后想要向主机B发送数据时，不再需要向网络中发送ARP请求。

5. 期限ARP缓存一般有一个存活时间，超过存活时间就会自动删除，以防止地址垃圾堆积引起网络拥堵。

⽹络基础协议之ARPARP 报⽂格式硬件类型：16位字段，⽤来定义运⾏ARP的⽹络类型。

每个局域⽹基于其类型被指派⼀个整数。

例如：以太⽹的类型为1。

ARP可⽤在任何物理⽹络上。

协议类型：16位字段，⽤来定义使⽤的协议。

例如：对IPv4协议这个字段是0800。

ARP可⽤于任何⾼层协议硬件长度：8位字段，⽤来定义物理地址的长度，以字节为单位。

例如：对于以太⽹的值为6。

协议长度：8位字段，⽤来定义逻辑地址的长度，以字节为单位。

例如：对于IPv4协议的值为4。

操作码：16位字段，⽤来定义报⽂的类型。

已定义的分组类型有两种：ARP请求（1），ARP响应（2）。

源硬件地址：这是⼀个可变长度字段，⽤来定义发送⽅的物理地址。

例如：对于以太⽹这个字段的长度是6字节。

源逻辑地址：这是⼀个可变长度字段，⽤来定义发送⽅的逻辑（IP）地址。

例如：对于IP协议这个字段的长度是4字节。

⽬的硬件地址：这是⼀个可变长度字段，⽤来定义⽬标的物理地址，例如，对以太⽹来说这个字段位6字节。

对于ARP请求报⽂，这个字段为全0，因为发送⽅并不知道⽬标的硬件地址。

⽬的逻辑地址：这是⼀个可变长度字段，⽤来定义⽬标的逻辑（IP）地址，对于IPv4协议这个字段的长度为4个字节。

ARP报⽂总长度⾸先要知道帧的概念，帧是在数据链路层传输的数据格式，⽐如以太⽹v2，以太⽹IEEE802.3和PPP等。

Wireshark抓到的帧是包含帧头的，即包含以太⽹v2的帧头，长14 bytes；⽽ARP数据包的长度固定为28 bytes；正常应⽤数据包帧总长度 = 帧头 + ⽹络层包头 + 传输层报⽂头 + 应⽤数据；⽽ARP请求中ARP包已经是最⾼层，之上没有传输层和应⽤层，所以总长度为：帧总长度 = 帧头 + ARP包头 = 14 + 28 = 42 bytes；⽽真正发包时为了保证以太⽹帧的最⼩帧长为64 bytes，会在报⽂⾥添加⼀个padding字段，⽤来填充数据包⼤⼩。

介绍ARP协议的作用和功能ARP（Address Resolution Protocol）是一种用于在IPv4网络中解析IP地址和物理MAC地址之间映射关系的协议。

它在局域网中起着至关重要的作用，使得网络设备能够通过IP地址找到对应的MAC地址，从而实现数据的正确传递。

IP地址和MAC地址在理解ARP协议之前，需要了解IP地址和MAC地址的概念。

IP地址是全球唯一标识网络中设备的地址，它由32位二进制数组成，通常以点分十进制表示（例如：192.168.0.1）。

而MAC地址是网络设备的物理地址，由48位二进制数组成，通常以冒号分隔的十六进制表示（例如：00:1A:2B:3C:4D:5E）。

ARP协议的功能ARP协议的主要功能是将IP地址解析为对应的MAC地址，或者将MAC地址解析为对应的IP地址。

具体来说，ARP 协议提供了以下两个重要的功能：1.地址解析：当一台设备需要与另一台设备通信时，它需要知道目标设备的MAC地址。

通过发送ARP请求广播，源设备可以询问局域网中的所有设备：“谁拥有这个IP地址？”目标设备收到请求后，会回复一个ARP响应，包含自己的MAC地址。

这样，源设备就可以得到目标设备的MAC地址，从而建立通信。

2.地址缓存：为了避免频繁的ARP请求和响应，设备会在本地维护一个ARP缓存表（也称为ARP缓存或ARP表）。

ARP缓存表记录了已解析的IP地址和对应的MAC地址的映射关系。

当设备需要与已知IP地址通信时，它可以直接查找ARP缓存表，而无需发送ARP请求。

如果在ARP缓存表中找不到对应的条目，设备将重新发送ARP请求以更新缓存。

ARP协议的重要性ARP协议在局域网中的作用非常重要。

它使得设备能够通过IP地址进行通信，并且在需要时能够动态地解析IP地址和MAC地址的映射关系。

ARP协议的正常运行对于实现数据包的正确传递和网络通信的顺畅性至关重要。

然而，由于ARP协议的工作机制较为简单，存在一些安全风险，例如ARP欺骗攻击和ARP缓存中毒攻击。